Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Касперский не обнаруживает Zam64.sys и ZamGuard64.sys

Couita

Автор Couita
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Couita Новичок

Couita

Опубликовано
Опубликовано

Здравствуйте! 
Подозреваю, что я заражен каким-то вирусом, или же остались его следы. Ранее до Касперского загрузил зараженный установщик игры (Trojan-Dropper), неизвестно, что он выполнил.
Dr.Web CureIt! обнаруживает zam64.sys и zamguard64.sys.

CollectionLog-2025.03.24-11.59.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Найдите отчёт "доктора" вида cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

+

  Цитата

O23 - Driver R: ZAM - C:\WINDOWS\System32\drivers\zam64.sys (sign: 'Zemana Ltd.')
O23 - Driver R: ZAM - C:\WINDOWS\System32\drivers\zamguard64.sys (sign: 'Zemana Ltd.')

Показать  

Это следы бывшей установки антивируса Zemana.

 

Чистка системы после некорректного удаления антивируса.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
RemoveProxy:
ProxyServer: [S-1-5-21-441121067-10831908-3394159381-1000] => 127.0.0.1:2080
2025-03-23 09:54 - 2025-03-24 12:35 - 000865097 _____ C:\WINDOWS\ZAM.krnl.trace
2025-03-23 09:54 - 2025-03-24 12:35 - 000859819 _____ C:\WINDOWS\ZAM_Guard.krnl.trace
2025-03-16 20:03 - 2025-03-16 20:03 - 000203680 ____N (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zamguard64.sys
2025-03-16 20:03 - 2025-03-16 20:03 - 000203680 ____N (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zam64.sys
2025-03-16 20:03 - 2025-03-16 20:03 - 000000000 ____D C:\Users\Couita\AppData\Local\Zemana
AlternateDataStreams: C:\WINDOWS\system32\Drivers\bidplfjf.sys:changelist [826]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\ttmqwzib.sys:changelist [1394]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Сделайте, конечно:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

CrystalDiskInfo 9.5.0 v.9.5.0 Внимание! Скачать обновления
Microsoft SQL Server 2012 Data-Tier App Framework  v.11.0.2316.0 Данная программа больше не поддерживается разработчиком.
Oracle VM VirtualBox 4.0.14 v.4.0.14 Внимание! Скачать обновления
Microsoft SQL Server 2012 Express LocalDB  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Management Objects  (x64) v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Transact-SQL ScriptDom  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Transact-SQL Compiler Service  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
VMware Workstation v.17.6.0 Внимание! Скачать обновления
Figma v.125.1.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.10411.0 Данная программа больше не поддерживается разработчиком.
Microsoft Silverlight 4 SDK - русский v.4.0.60310.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Management Objects  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft Silverlight 5 SDK - RUS v.5.0.61118.0 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.031.0217.0003 Внимание! Скачать обновления
Discord v.1.0.9175 Внимание! Скачать обновления
AmneziaVPN v.4.8.2.3 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Yaasa
      Сообщение от касперского запрещено
      Автор Yaasa
      сидел в компе и касперский начал часто выдавать сообщение запрещено при заходе в антивирус это :
      ложное ли это срабатывание или вирус?
       


    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • KuZbkA
      Касперский и linux
      Автор KuZbkA
      Здравствуйте! Почему касперский ubuntu linux считает сервером? она ж позиционируется как десктопная, например в соседнем антивирусе ее и считают десктопной, клиентской)) обидно за касперского))
    • Couita
      Не пускает в личный кабинет + Вылетает Касперский
      Автор Couita
      My Kaspersky: 

      При нажатии в Касперском приложении кнопки "управлять аккаунтом" Касперский зависает и вылетает.
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
×
×
  • Создать...